Informe semanal sobre virus e intrusos

En el presente informe vamos a referirnos a cuatro gusanos: Netsky.C, Bizex.A, Nachi.D y Mydoom.F.

Netsky.C se propaga a través del correo electrónico – en un mensaje de características variables y escrito en inglés -, y de los programas de intercambio de ficheros punto a punto (P2P). Este código malicioso borra las entradas pertenecientes a varios gusanos, entre los que se encuentran Mydoom.A y Mimail.T. Adicionalmente, cuando la fecha del sistema es 26 de febrero de 2004, Netsky.C emite – entre las 6:00 y las 8:59 de la mañana -, un sonido compuesto de varios tonos aleatorios.

Bizex.A, por su parte, se difunde mediante el programa de mensajería instantánea ICQ. Además, para descargar y ejecutar una copia de sí mismo en el ordenador al que afecta, se aprovecha de dos vulnerabilidades recientemente detectadas en Internet Explorer.

Bizex.A intenta robar información que el usuario introduce en sitios web relacionados con determinadas entidades financieras, así como la transmitida a través de HTTPS (HTTP over Secure Socket Layer) relativa a los dominios login.yahoo.com y .passport. Los datos que obtiene los envía a un servidor FTP.

El tercer gusano del presente informe es Nachi.D, que afecta a ordenadores cuyo sistema operativo sea Windows 2003, XP, 2000 ó NT. Con el objetivo de propagarse al mayor número de equipos posible aprovecha tres vulnerabilidades -conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation- para descargar una copia de sí mismo. Esta acción provoca un aumento del tráfico de red por los puertos TCP 80, 135 y 445.

Nachi.D es capaz de desinstalar las variantes A y B de Mydoom y de Doomjuice, finalizando sus procesos y borrando sus ficheros asociados. Asimismo, cuando la fecha del sistema es 1 de junio de 2004 o posterior, Nachi.D se borra a sí mismo.

Por último, nos referimos a la variante F de Mydoom, que se propaga por correo electrónico en un mensaje de características variables y escrito en inglés. Se trata de un gusano destructivo, ya que borra todos los ficheros que tengan alguna de las siguientes extensiones: AVI, BMP, DOC, JPG, MDB, SAV y XLS.

Mydoom.F instala una librería de enlace dinámico (DLL) que contiene un backdoor y permite finalizar procesos correspondientes a programas antivirus, lo que deja al PC al que afecta vulnerable al ataque de otro malware. Además, cuando la fecha del sistema se encuentra entre el 17 y el 22 de cualquier mes y año, este gusano realiza ataques de Denegación de Servicio Distribuida (DDoS) contra las páginas w w w.microsoft.com y w w w.riaa.com. Dos de cada tres veces, el ataque se realiza contra el sitio de Microsoft.

Un hecho que delata la presencia Mydoom.F en un ordenador es la aparición, en siete de cada diez ocasiones, de un mensaje de error.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: www.pandaantivirus.com.ar/enciclopedia

Información adicional

– FTP (File Transfer Protocol): protocolo que permite la transferencia de ficheros a través de una conexión TCP/IP.

– HTTP (HyperText Transfer Protocol): sistema de comunicación que permite visualizar páginas web, desde un navegador.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática